Las herramientas para arrancar el pelo provocan accidentes de seguridad y se debe evitar la "infraestructura alternativa"

Original | Odaily Planet Daily

Autor | Loopy Lu

![Accidentes de seguridad causados por herramientas de cepillado del cabello, se debe proteger contra la "infraestructura alternativa"] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-e92de0c3c0-dd1a6f-1c6801)

El fin de semana pasado, un producto que parecía muy alejado del mundo criptográfico apareció ante la comunidad criptográfica. Bit Browser, que se utiliza a menudo para "apertura múltiple" y "control de grupo", ha provocado robos de carteras a gran escala, cuyo daño ha alcanzado cientos de miles de dólares.

Anteriormente, los generadores de números aleatorios, los lenguajes de programación de contratos inteligentes, los riesgos del sistema iOS/Android, etc., habían provocado incidentes de seguridad a gran escala. A medida que el mundo del cifrado madura y se vuelve más complejo, la situación de seguridad se vuelve cada vez más peligrosa y aparecen silenciosamente riesgos en muchos lugares que son difíciles de detectar para las personas...

¿Qué es Bit Browser?

Para la mayoría de los usuarios de cifrado, el nombre del producto "Bit Browser" puede resultarles un poco desconocido.

Su nombre completo es "Bit Fingerprint Browser". Según la información de su sitio web oficial, ** La función principal de este producto es la simulación del entorno, similar a la función "sandbox", que puede simular diferente información de seguimiento del usuario en cada ventana, incluida IP, información del dispositivo, información del navegador, etc. . **

Y esta serie de funciones tiene principalmente un objetivo: simular múltiples usuarios, para que cada "usuario" pueda tener información independiente. El navegador incluso proporciona una función de control de grupos.

La audiencia de mercado de Bit Browser es principalmente comercio electrónico de comercio exterior (como Amazon, Shopee, etc.) y operaciones de redes sociales (Facebook, Tiktok, etc.). El lema de su sitio web oficial dice: "Administre fácilmente su gran negocio transfronterizo con un Bit Browser".

Aunque este producto no está especialmente diseñado para usuarios del mundo cifrado, su serie de funciones se ajustan perfectamente a las demandas del grupo de la lana. Por lo tanto, un gran número de personas "esponjosas" han utilizado este producto.

Hay diferentes opiniones sobre los motivos del robo.

Recientemente, un grupo de miembros de la comunidad "Luomao" descubrió que les habían robado sus billeteras Lumao. Después de un autoexamen, todas las víctimas creyeron que el robo fue causado por el uso de un navegador de huellas dactilares y que la causa directa fue la filtración de la clave privada.

El funcionario del navegador BitFingerprint respondió de inmediato en la comunidad: algunas versiones de WPS para Windows tienen una vulnerabilidad de ejecución remota de código, y los atacantes pueden usar esta vulnerabilidad para ejecutar código arbitrario en el host de destino de la víctima, controlar el host, etc. (¿Qué tiene que ver WPS con los usuarios de Bitbrowser? La explicación de Bitbrowser es que debido a que esta vulnerabilidad es más fácil de activar, puede piratearse después de hacer clic en un enlace desconocido).

Y como el software está lejos del mundo de la encriptación, durante un tiempo dio una respuesta ridícula.

![Accidentes de seguridad causados por herramientas de cepillado del cabello, se debe proteger contra la "infraestructura alternativa"] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-10fb22a4de-dd1a6f-1c6801)

La respuesta inicial circuló ampliamente como un meme en la comunidad criptográfica.

Sin duda, la explicación de Bit Browser no logró convencer a los usuarios. El 26 de agosto, Bitbrowser dio seguimiento a este incidente y emitió un anuncio que decía: "Los datos almacenados en caché en el lado del servidor han sido pirateados. La billetera del usuario con la función de "sincronización de datos extendida" activada corre el riesgo de ser robada. "Se recomienda transferir los activos de la billetera".

Incidente de seguridad, ¿de quién es la culpa?

Al inicio del incidente, hubo diferentes opiniones sobre el motivo del robo.

En el complemento MetaMask que utilizamos habitualmente, la clave privada no se guarda en texto sin formato. Por lo tanto, los piratas informáticos sólo dependen de los datos de la caché local del usuario y no pueden obtener control sobre los activos del usuario.

En la transferencia de billetera, además de la función de "exportación" más común, la función de "copia de seguridad" es una función que usa menos gente.

Función "Copia de seguridad" de MetaMask

Cabe señalar que la función de "copia de seguridad" proporcionada por MetaMask es completamente diferente a exportar claves privadas/frases mnemotécnicas. Después de la copia de seguridad, el usuario puede obtener un archivo json, que también se denomina almacén de claves. *(Nota diaria de Odaily Planet: una explicación más sencilla es: clave privada = mnemónico = control de billetera = almacén de claves + contraseña) *

Lo mismo ocurre con los datos almacenados en caché localmente, entonces, ¿cómo se robó la billetera del usuario?

Luego de dos días de análisis por parte de todas las partes, finalmente se identificó la causa del caso. El hacker obtuvo la caché ampliada del usuario invadiendo el servidor. **(Nota diaria de Odaily Planet: De esta manera, el pirata informático tiene los datos locales de la billetera, pero no puede iniciar sesión). **Luego, el pirata informático descifra violentamente la contraseña de la billetera "intentando una colisión de contraseña de plataforma URL común" y luego obtiene los permisos de la billetera.

Los registros del servidor muestran que el servidor que almacena el caché extendido tiene rastros de haber sido descargado a principios de agosto (los registros de registro son hasta el 2 de agosto a más tardar) y se han bloqueado varias direcciones IP, todas las cuales son direcciones en el extranjero, excepto una de Jiangsu. DIRECCIÓN. Según miembros de la comunidad, el caso ha sido aceptado por la sucursal de Changping de la Oficina de Seguridad Pública de Beijing.

**Cuando revisamos este incidente, descubrimos que era difícil aclarar las responsabilidades de todas las partes en este incidente. **

El primero es el primer punto de riesgo: la fuga de datos de la caché.

Algunos usuarios preguntaron por qué los datos almacenados en caché no estaban cifrados. Bit Browser señaló que al sincronizar "datos extendidos", la transferencia de datos se cifra. Sin embargo, si un pirata informático descifra el software pero el archivo EXE del programa principal, el pirata informático puede obtener los datos extendidos.

Pero confiar únicamente en los datos almacenados en caché no puede obtener los activos del usuario. Sólo la combinación de "datos en caché + contraseña" puede controlar la billetera. En el uso diario de los usuarios, es normal que varias cuentas compartan contraseñas. Las contraseñas de nuestros sitios web Web2 de uso común también se filtran a menudo. Los piratas informáticos pueden obtener las contraseñas de otros sitios web Web2 e intentar "introducir credenciales" en la billetera Web3 del usuario.

Además, la fuerza bruta es una posibilidad. Debido a que la cantidad de combinaciones potenciales de contraseñas de desbloqueo es mucho menor que la cantidad de combinaciones de claves privadas, es completamente factible forzar la contraseña de desbloqueo por fuerza bruta. (Suponiendo que el producto no introduzca medidas preventivas como bloquear el número máximo de intentos fallidos).

Desde la perspectiva del usuario, Bit Browser elimina los datos almacenados en caché del complemento y eventualmente provoca la filtración. Es cierto que tiene una responsabilidad ineludible. Sin embargo, el fallo de la protección con contraseña de acceso a la billetera también se debe al deterioro a largo plazo del entorno de seguridad de la red.

Infraestructura alternativa

Para los desarrolladores de software, no sabemos de qué proviene el nombre "Bit" de "Bit Fingerprint Browser", pero una cosa está clara: este producto no está creado para el mundo del cifrado, solo para satisfacer las necesidades de los usuarios criptográficos.

Cuanto más complejo es un sistema, más puntos de riesgo potenciales existen, y cualquier punto de falla puede conllevar el riesgo de ser pirateado.

Recordando la era del cifrado y el desenfreno, la gente solo usaba la billetera Bitcoin más básica. En ese momento, no existían enlaces interactivos como DeFi y cross-chain. Siempre que conserve su propia clave privada, será lo suficientemente seguro.

Pero ahora, varias herramientas auxiliares fuera de la cadena y grupos de fondos dentro de la cadena han agregado riesgos adicionales. Cada vez más productos como Bit Browser se están convirtiendo en una nueva "infraestructura" alternativa en el mundo del cifrado. Una gran cantidad de vulnerabilidades de seguridad "sin cifrado" ponen en peligro el mundo del cifrado:

• El 21 de agosto, los piratas informáticos robaron 3,13 millones de USDT. El personal de seguridad cree que el álbum de fotos robado del sistema Android se vio comprometido y el pirata informático obtuvo una captura de pantalla de la clave privada del usuario.
• A principios de agosto se produjo un gran robo en Curve. El análisis en ese momento encontró que no había ningún problema con la seguridad del contrato de Curve y que el motivo del robo provino de una vulnerabilidad en su lenguaje de programación vyper. Por lo tanto, se utilizan grupos de aleth, peth, mseth y crveth.
• En mayo, la función de sincronización del ID de Apple también provocó el robo de más de diez millones de dólares. Muchos usuarios comprarán o utilizarán los ID de Apple de otras personas en el área de EE. UU. El propietario de la cuenta puede sincronizar los datos locales de la billetera y obtener el control de la billetera simplemente rompiendo la contraseña de acceso a la billetera. Esto es exactamente lo mismo que el robo de Bit Browser. La cantidad total de fondos robados a usuarios victimizados superó los 10 millones de dólares.
• Del lado de los desarrolladores, la situación de seguridad es más compleja. En el caso de robo de billetera Solana del año pasado, el punto de riesgo provino del código aleatorio relacionado con la generación de frases mnemotécnicas de nivel inferior.

Con la complejidad del mundo cifrado, es posible que en el futuro se incluyan en el mundo cifrado cada vez más herramientas, software y servicios que son difíciles de detectar para las personas, y los riesgos también se ampliarán.

Odaily Planet Daily desea recordarle que no entregue los datos locales de su billetera a otros ni los autorice en exceso. Además, debido a la naturaleza oculta del riesgo, tenga cuidado al utilizar medios electrónicos para guardar claves privadas/frases mnemotécnicas. No instale demasiado software desconocido en computadoras que frecuentemente realizan operaciones de cifrado.

Lectura relacionada

"Los incidentes de piratas informáticos ocurren con frecuencia, acepte esta guía antirrobo de Crypto"